日前,一个与印度有关的网络间谍组织被自家的远程访问特洛伊木马( RAT )感染上后,意外地将行动暴露给了安全研究人员。据了解,自2015年12月以来,这伙威胁分子就一直很活跃,因使用复制粘贴代码而被称为 PatchWork 。
在 PatchWork 最近的一次活动中(2021年11月底至12月初), 安全厂商 Malwarebytes Labs 发现这伙威胁分子使用恶意的 RTF 文件冒充巴基斯坦当局,用 BADNEWS RAT 的新变种(名为 Ragnatela )感染目标。Ragnatela RAT 使威胁分子可以执行命令、获取屏幕快照、记录击键内容、搜集敏感文件和一长串运行中的应用程序、部署额外的有效载荷以及上传文件等。
Malwarebytes Labs 威胁情报团队解释道:“出人意料的是,我们之所以能收集到所有信息,归因于这伙威胁分子被其自己的 RAT 病毒感染,因而能获取他们的计算机和虚拟机上的击键内容和屏幕截图。”研究人员获得这一发现后,使用 VirtualBox 和 VMware 用于测试和 Web 开发,在拥有双键盘布局(即英文和印度文)的计算机上进行测试,同时监控该团伙的一举一动。
PatchWork测试Ragnatela RAT
来源:Malwarebytes Labs
研究人员在观察对方行动的同时,还获得了该组织攻击的目标信息,这些目标包括巴基斯坦国防部以及多所大学,比如伊斯兰堡国防大学、 UVAS 大学生物科学院、卡拉奇 HEJ 研究所和 SHU 大学的教职员工信息。Malwarebytes Labs 补充道:“通过威胁分子恶意软件获取的数据,我们能够更清楚地了解谁在键盘后面搞破坏。”
据了解, PatchWork 团伙曾于 2018 年 3 月在多起鱼叉式网络钓鱼活动中攻击了美国多个智库,采用了同样的手法,即推送恶意 RTF 文件来渗入受害者系统,并推送 QuasarRAT 恶意软件的变种。在 2018 年1 月,有机构监测到他们通过投放 BADNEWS 恶意软件,对南亚地区的目标发动攻击。他们还在 2016 年 5 月底对一家欧洲政府组织的雇员发动了一起鱼叉式网络钓鱼活动。(文章来源:安全牛)